Un grupo de investigadores de la empresa Inky detectó que cibercriminales han estado usando combinaciones de HTML, CSS y Unicode para burlar las herramientas de detección de phishing que utilizan los servicios de correo.
Los investigadores analizaron correos que se hacían pasar por avisos de "contraseña caducada" en Office 365 y que fueron reportados como sospechosos por usuarios. En este proceso, descubrieron que algunos atacantes utilizan caracteres ocultos entremedio del texto de un correo, de manera que los sistemas no detecten frases que generalmente gatillan las alarmas anti-phishing.
Uno de los caracteres usados es el guión suave o guión de sílaba, que se utiliza para dividir palabras en sílabas cuando no caben en una misma línea. Este tipo de guión queda como invisible si no hay un corte de las palabras. Cuando los investigadores buscaban términos como "cambia tu contraseña" usando software, no encontraban la frase porque estaba escrita así: "c-a-m-b-i-a- -t-u- -c-o-n-t-r-a-s-e-ñ-a-".
Este guión es invisible en Unicode, por lo que para el usuario el texto se lee normal. Según Inky, esta no es la única técnica utilizada, sino que también se usan otros trucos, como hacer que el texto se despliegue como si fuera un logo, o utilizar CSS para que el texto no sea visible.
Esto es un desafío para los sistemas que buscan defender a los usuarios de ataques de phishing, que tienen que considerar este tipo de técnicas. El problema es que considerar más casos hace que los sistemas de detección sea más lento.
